【安全圈】iOS 出现新严重漏洞,仅需一行代码即可导致 iPhone 崩溃
【安全圈】iOS 出现新严重漏洞,仅需一行代码即可导致 iPhone 崩溃 安全圈 2025-05-06 11:03 关键词 安全漏洞 iOS 中的一个严重漏洞可能允许恶意应用程序仅使用一行代码即可永久禁用 iPhone。 该漏洞的编号为 CVE-2025-24091,利用操作系统的 Darwin 通知系统触发无限重启循环,导致设备“变砖”,需要进行完整的系统还原。 iOS Darwin 通知漏洞
继续阅读标签: 复现
CVE-2017-9769 RZPNK.sys漏洞复现
CVE-2017-9769 RZPNK.sys漏洞复现 12138 我吃你家米了 2025-05-06 10:40 点击阅读原文 卡的话就挂代理
继续阅读可蠕虫化AirPlay漏洞:公共WiFi环境下可零点击远程控制苹果设备
可蠕虫化AirPlay漏洞:公共WiFi环境下可零点击远程控制苹果设备 FreeBuf 2025-05-06 10:29 网络安全研究人员近日披露了苹果AirPlay协议中一系列现已修复的安全漏洞,攻击者成功利用这些漏洞可控制支持该专有无线技术的设备。以色列网络安全公司Oligo将这些漏洞统称为AirBorne。 01 漏洞组合可形成蠕虫式攻击 研究人员Uri Katz、Avi Lumelsky和
继续阅读微软 Telnet 服务器惊现 0Click 重大漏洞
微软 Telnet 服务器惊现 0Click 重大漏洞 看雪学苑 看雪学苑 2025-05-06 09:59 近日 ,微软 Telnet 服务器被发现存在一个极其严重的 0Click 漏洞,该漏洞使得攻击者能够完全绕过身份验证机制,甚至无需有效凭据就有可能获得管理员访问权限,严重威胁到组织的信息安全。 这一漏洞主要影响从 Windows 2000 到 Windows Server 2008 R2
继续阅读25年夏季班招生啦 | 系统0day安全-IOT设备漏洞挖掘(第6期)
25年夏季班招生啦 | 系统0day安全-IOT设备漏洞挖掘(第6期) 看雪课程 看雪学苑 2025-05-06 09:59 数字化时代,物联网(IoT)设备已经渗透到我们生活的方方面面,从智能家居到工业自动化,无一不依赖于这些智能设备。然而,随着IoT设备的普及,安全问题也日益凸显。IoT设备漏洞挖掘成为了保障网络安全的重要一环。 入门到精通 成为IoT漏洞挖掘专家 🔍 顶尖讲师团队【Secu
继续阅读安全热点周报:邮件远程代码执行漏洞遭利用,用于攻击日本机构
安全热点周报:邮件远程代码执行漏洞遭利用,用于攻击日本机构 奇安信 CERT 2025-05-06 09:05 安全资讯导视 • 《数据安全技术 数据安全风险评估方法》等6项网络安全国家标准发布 • 美情报机构利用网络攻击中国大型商用密码产品提供商事件调查报告发布 • 秘鲁政府网站疑因网络攻击瘫痪,3300万公民个人数据或泄露 PART01 新增在野利用 1.Langflow 身份认证绕过漏洞(
继续阅读用友NC ECFileManageServlet 反序列化RCE
用友NC ECFileManageServlet 反序列化RCE Superhero Nday Poc 2025-05-06 08:53 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 用友NC ECFile
继续阅读【论文速读】| 通过整体神经符号方法实现自动静态漏洞检测
【论文速读】| 通过整体神经符号方法实现自动静态漏洞检测 原创 知识分享者 安全极客 2025-05-06 08:34 基本信息 原文标题:Automated Static Vulnerability Detection via a Holistic Neuro-symbolic Approach 原文作者:Penghui Li, Songchen Yao, Josef Sarfati Koric
继续阅读【代码审计】某JAVA酒店管理系统多个漏洞(附源码)
【代码审计】某JAVA酒店管理系统多个漏洞(附源码) 原创 WL Rot5pider安全团队 2025-05-06 07:31 点击上方蓝字 关注安全知识 欢迎加 技术交流群 ,随意聊,禁 发广告、政治 赌毒 等,嘿嘿 群已满200,请添加: The_movement 备注: 进群 酒店管理系统代码安全审计 一、项目概况 1.1 技术栈 开发语言:Java 框架:Spring Boot 数据
继续阅读9万个站点面临风险:Jupiter X Core RCE 漏洞(CVE-2025-0366)
9万个站点面临风险:Jupiter X Core RCE 漏洞(CVE-2025-0366) TtTeam 2025-05-06 07:28 拥有超 9 万活跃安装量的热门 WordPress 插件 Jupiter X Core 被发现并修复了编号为 CVE-2025-0366 的安全漏洞。该漏洞被评定为 “SVG 上传到本地文件包含” 类型,CVSS 评分高达 8.8,可导致经过身份验证的攻击者
继续阅读龙腾码支付 curl 任意文件读取漏洞
龙腾码支付 curl 任意文件读取漏洞 Superhero Nday Poc 2025-05-06 06:59 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 龙腾码支付 /pay/service/curl
继续阅读漏洞预警|畅捷CRM存在SQL注入漏洞
漏洞预警|畅捷CRM存在SQL注入漏洞 SecHub网络安全社区 2025-05-06 06:57 点击蓝字 关注我们 免责声明 本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。 文中所涉及的
继续阅读万户 ezOFFICE selectAmountField.jsp SQL 注入漏洞
万户 ezOFFICE selectAmountField.jsp SQL 注入漏洞 Superhero Nday Poc 2025-05-06 06:26 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 万
继续阅读API漏洞挖掘指北-APISandbox靶场通关.1
API漏洞挖掘指北-APISandbox靶场通关.1 原创 摆烂的beizeng 土拨鼠的安全屋 2025-05-06 03:33 APIKit APISandbox APISandbox靶场通关 安装 OWASPApiTop10 4ASystem APIKit APIKit是基于BurpSuite提供的JavaAPI开发的插件。 APIKit可以主动/被动扫描发现应用泄露的API文档,并将API
继续阅读AOSP OTA签名验证漏洞——如何绕过Android系统更新包的安全检查?
AOSP OTA签名验证漏洞——如何绕过Android系统更新包的安全检查? 原创 Tianu Laqian 山石网科安全技术研究院 2025-05-06 03:32 一个隐藏在Android系统更新包签名验证中的小漏洞,竟然可以让恶意软件包通过安全检查! 在当今数字化时代,Android设备的安全性一直是用户和开发者关注的焦点。系统更新作为保障设备安全的重要手段,其完整性验证机制更是至关重要。然
继续阅读SSH服务已关,为何还被扫描出漏洞?
SSH服务已关,为何还被扫描出漏洞? 原创 圈圈 网络技术干货圈 2025-05-06 03:17 点击上方 网络技术干货圈 , 选择 设为星标 优质文章,及时送达 转载请注明以下内容: 来源 :公众号【网络技术干货圈】 作者 :圈圈 ID :wljsghq SSH是一种用于远程登录和安全数据传输的加密协议,通常运行在22号端口。由于其重要性,SSH服务往往成为攻击者扫描和利用的首要目标。常见的高
继续阅读域渗透入门-令牌窃取(含复现步骤)
域渗透入门-令牌窃取(含复现步骤) Syst1m Zer0 sec 2025-05-06 03:06 宇宙免责声明!!! 本推文提供的信息、技术和方法仅用于教育目的。文中讨论的所有案例和技术均旨在帮助读者更好地理解相关安全问题,并采取适当的防护措施来保护自身系统免受攻击。 严禁将本文中的任何信息用于非法目的或对任何未经许可的系统进行测试。未经授权尝试访问计算机系统或数据是违法行为,可能会导致法律后
继续阅读Linux内核高频攻击面与漏洞类型统计研究
Linux内核高频攻击面与漏洞类型统计研究 NEURON SAINTSEC 2025-05-06 01:31 CWE统计 按照CVE公开信息,总计314个漏洞按CWE名称可分为31种漏洞类型。统计如下: 可以从上图看到Use After Free数量非常多,数量是第二名Null Pointer Dereference的两倍有余。 另外为了方便统计图的绘制,有许多单个的CWE统计在Other类型中,
继续阅读DragonForce黑客组织宣称对Co-op网络攻击事件负责并窃取数据
DragonForce黑客组织宣称对Co-op网络攻击事件负责并窃取数据 鹏鹏同学 黑猫安全 2025-05-06 01:25 DragonForce黑客组织向BBC证实入侵英国Co-op集团细节 事件最新进展 : 1. 攻击过程曝光 黑客向BBC展示了4月25日通过Microsoft Teams向Co-op安全主管发送的首封勒索信截图 一周前曾直接致电该公司安全部门负责人施压 最初Co-op声明
继续阅读CraftCMS 前台命令执行漏洞 (CVE-2025-32432)
CraftCMS 前台命令执行漏洞 (CVE-2025-32432) Superhero Nday Poc 2025-05-06 01:00 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 攻击者可构造恶意请
继续阅读公共场所免费 WiFi 暗藏的安全漏洞
公共场所免费 WiFi 暗藏的安全漏洞 安小圈 2025-05-06 00:45 安小圈 第659期 WiFi · 漏洞 一、引言 在移动互联网时代,免费 WiFi 已成为公共场所的标配,无论是繁华商圈的商场,还是街角的咖啡店,又或是忙碌的机场,免费 WiFi 为人们随时随地接入网络提供了极大便利。然而,便利的背后,隐藏着诸多不为人知的安全隐患。用户在享受免费网络时,个人隐私和财产安全往往面临严
继续阅读Vitejs漏洞复现与利用
Vitejs漏洞复现与利用 原创 进击的hack 进击的HACK 2025-05-05 23:50 声明: 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担! 如有侵权烦请告知,我们会立即删除并致歉。谢谢 ! 文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。 字数 485,阅读大约需 3 分钟 前言 Vitejs
继续阅读Cisco Webex 漏洞可让黑客通过会议链接获取代码执行权限
Cisco Webex 漏洞可让黑客通过会议链接获取代码执行权限 Rhinoer 犀牛安全 2025-05-05 16:00 思科发布了针对高严重性 Webex 漏洞的安全更新,该漏洞允许未经身份验证的攻击者使用恶意会议邀请链接获取客户端远程代码执行。 该安全漏洞编号为 CVE-2025-20236,是在 Webex 自定义 URL 解析器中发现的,可通过诱骗用户下载任意文件来利用该漏洞,从而使攻
继续阅读Commvault SSRF 致代码执行漏洞 (CVE-2025-34028)
Commvault SSRF 致代码执行漏洞 (CVE-2025-34028) Superhero Nday Poc 2025-05-05 13:45 内容仅用于学习交流自查使用,由于传播、利用本公众号所提供的 POC 信息及 POC对应脚本 而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号Nday Poc及作者不为此承担任何责任,一旦造成后果请自行承担! 01 漏洞概述 2025
继续阅读记某医院APP的一次逻辑漏洞挖掘
记某医院APP的一次逻辑漏洞挖掘 sec0nd安全 2025-05-05 12:07 扫码加内部知识圈 获取漏洞资料 在某次渗透测试中,对某医院的APP进行抓包测试,主要挖掘了一些逻辑漏洞,记录 如下: 抓包APP请求 的网站地 址,复制到网页中打开 通过“找回密码”时由于只会验证返回包内容,可以抓包将返回包替换,成功重置了任意用户的密码,这会对系统正常用户的业务处理造成影响 访问风险地址,输入重
继续阅读【安全圈】微软Telnet服务器被曝0-Click漏洞:无密码即可控制系统
【安全圈】微软Telnet服务器被曝0-Click漏洞:无密码即可控制系统 安全圈 2025-05-05 11:00 关键词 漏洞 科技媒体 borncity (4 月 30 日)发布博文,报道称微软 Telnet 服务器存在高危漏洞,无需有效凭据即可远程绕过身份验证,直接访问系统,甚至能以管理员身份登录。 该漏洞名为“0-Click NTLM Authentication Bypass”,攻击者
继续阅读未修复的Windows快捷方式漏洞可导致远程代码执行,PoC已公布
未修复的Windows快捷方式漏洞可导致远程代码执行,PoC已公布 商密君 2025-05-05 10:05 安全研究员Nafiez近日公开披露了一个此前未知的Windows LNK文件(快捷方式)漏洞,攻击者可能利用该漏洞在无需用户交互的情况下远程执行代码。尽管研究人员已发布可用的概念验证( PoC ),微软仍拒绝修复该漏洞,称其”未达到安全修复标准”。 01 漏洞利用机
继续阅读伊朗黑客持续渗透中东关键基础设施:VPN漏洞与恶意软件成长期后门
伊朗黑客持续渗透中东关键基础设施:VPN漏洞与恶意软件成长期后门 原创 道玄安全 道玄网安驿站 2025-05-05 02:12 “ 网络战。” PS:有内网web自动化需求可以私信 01 — 导语 近年来,伊朗国家支持的黑客组织频繁针对中东地区关键基础设施(CNI)发起网络攻击,其攻击手段隐蔽且持久。最新研究表明, 通过VPN漏洞和定制化恶意软件,部分伊朗黑客组织已在中东能源、国防、通信等领域
继续阅读【极思】一个伪0day的抓捕实录
【极思】一个伪0day的抓捕实录 A9 Team 2025-05-05 02:10 “ 文章中质量较好的,有意义的文章已经让朋友帮助备份到这里,等极思和A9关停后,还能找地方看到。五一劳动节全程在劳动,修过电灯吸过尘,陪过家人写过文。没有旅行的五一,也可以是完美的五一。 【极思】安全运营第6年实践总结 ” 零、前言 如果你问一个职场人员最6的是啥,大部分人会回答你是Boss,如果你问一个安全行业的
继续阅读CVE-2025-27095:JumpServer 中的令牌盗窃漏洞导致 Kubernetes 集群遭受未经授权的访问
CVE-2025-27095:JumpServer 中的令牌盗窃漏洞导致 Kubernetes 集群遭受未经授权的访问 TtTeam 2025-05-05 00:30 开源特权访问管理(PAM)平台 JumpServer 被曝存在新漏洞(CVE-2025-27095),多个版本受影响。该漏洞可通过令牌泄漏引发对 Kubernetes 集群的攻击风险。作为广泛应用于通过 Web 浏览器保障 SSH、
继续阅读